Le ministère de la Justice des États-Unis a annoncé des accusations criminelles et des sanctions contre 9 Iraniens impliqués dans le piratage d’universités, d’entreprises de technologie et d’organisations gouvernementales dans le monde entier.
Selon les responsables du FBI, les individus sont liés à l’Institut Mabna, une société iranienne créée en 2013 dont les membres auraient été engagés par le gouvernement iranien pour voler des ressources de recherche scientifique et des documents universitaires.
Le contenu exact de ces documents n’est pas encore connu mais les enquêteurs pensent qu’ils auraient pu permettre une sérieuse avancée nucléaire.
En 4 ans, plus de 320 universités dans 22 pays (dont 144 aux États-Unis) auraient été infiltrées et plus de 30To de données auraient été volés.
Comment s’y sont-ils pris?
Le groupe a utilisé des attaques de phishing sur plus de 100 000 comptes de messagerie de professeurs du monde entier dont 7998 (3768 américains) auraient été compromis avec succès.
Le phishing revient à pousser la cible à révéler ses identifiants d’un site précis en lui faisant croire qu’il est sur un domaine sécurisé. Par exemple, le pirate envoie un email à un professeur demandant de remplir les noms des élèves d’une classe précise avec un lien vers la page de login de l’école. Cette page de login est en fait un faux qui peut parfois être parfaitement identique à la page originale et seuls quelques éléments diffèrent. Le professeur va alors vouloir faire son travail et s’il insère ses identifiants dans le faux site, les pirates peuvent récupérer son compte et toutes les informations universitaires auxquelles celui-ci a accès.
Pour quelques conseils sur le phishing, un lien ici.
« Leur but était d’obtenir des noms d’utilisateur et des mots de passe pour les comptes des professeurs afin qu’ils puissent accéder sans autorisation aux serveurs universitaires et voler n’importe quel type d’information académique », a déclaré l’agent du FBI qui a enquêté sur l’affaire.
Le groupe a ensuite exfiltré les données académiques et vendu le contenu via Megapaper.ir et Gigapaper.ir, deux sites web iraniens où les clients pouvaient accéder aux systèmes des bibliothèques en ligne des universités piratées.
Voici les noms et rôles des neufs iraniens inculpés :
- Gholamreza Rafatnejad : un des membres fondateurs de l’Institut Mabna.
- Ehsan Mohammadi : un autre membre fondateur de l’Institut Mabna et responsable de l’organisation de la campagne de piratage informatique avec Rafatnejad.
- Seyed Ali Mirkarimi : un hacker et entrepreneur de l’Institut Mabna. Il se livrait à la fabrication et à l’envoi de courriels de phishing pour voler les identifiants des professeurs d’université.
- Mostafa Sadeghi : un autre pirate informatique travaillant avec l’Institut Mabna. Il aurait compromis les comptes de plus de 1 000 professeurs d’universités et échangé leurs références avec des partenaires iraniens.
- Sajjad Tahmasebi : un entrepreneur de l’Institut Mabna. Il tenait à jour la liste des titres de compétences volés et travaillait au processus de reconnaissance afin de préparer la liste des universités et des professeurs ciblés par l’hameçonnage.
- Abdollah Karima : un homme d’affaires qui possédait un site Web pour vendre en ligne le matériel scolaire volé.
- Abuzar Gohari Moqadam : un professeur iranien qui a échangé des comptes compromis avec les fondateurs de l’Institut Mabna.
- Roozbeh Sabahi : un autre entrepreneur pour l’Institut Mabna.
- Mohammed Reza Sabahi – un autre entrepreneur de l’Institut Mabna, qui a aidé à dresser les listes des professeurs d’université ciblés et des bases de données académiques.
« Bien qu’il soit difficile de calculer le montant des pertes, les universités américaines ont dépensé environ 3,4 milliards de dollars pour se procurer et accéder gratuitement aux données auxquelles les Iraniens ont accédé », a déclaré le FBI.
Les pays ciblés comprennent le Japon, la Chine, l’Australie, le Canada, le Danemark, la Finlande, l’Allemagne, l’Irlande, Israël, l’Italie, la Malaisie, les Pays-Bas, la Norvège, la Pologne, Singapour, la Corée du Sud, l’Espagne, la Suède, la Suisse, la Turquie et le Royaume-Uni.
Un 10e pirate accusé pour des fuites d’épisode de Game Of Thrones
Outre ces 9 pirates, un 10e pirate iranien, Behzad Mesri a été sanctionné pour des cyberattaques contre HBO et des épisodes de « Game of Thrones » l’été dernier.
Mesri a compromis plusieurs comptes d’utilisateurs appartenant à HBO afin d’obtenir un accès non autorisé aux serveurs informatiques de l’entreprise et de voler des données précieuses, dont des informations confidentielles et exclusives, des documents financiers et les coordonnées des employés. Mesri a ensuite tenté d’extorquer 6 millions de dollars à HBO pour effacer les données volées.
